Les plug-ins internet : révélateurs des secrets des grandes entreprises

Ce seul fait peut ne pas sembler alarmant à de nombreux utilisateurs. Que pourrait-il se passer si quelqu’un découvre qu’un de vos employés a visité le site web d’un entrepreneur ou s’est connecté à un réseau social en utilisant le compte de l’entreprise ? Après tout, les agresseurs ne se rendent qu’à l’adresse visitée et ne peuvent pas accéder à d’autres informations. Alors, qui s’en soucie ? En fait, tout cela serait vrai si les extensions n’interceptaient et ne transmettaient pas régulièrement les données internes de l’entreprise également.

Liens qui révèlent tout sur vous

Les réseaux sociaux et les sites web officiels de vos contractants et partenaires ne révèlent probablement aucune information secrète. Vous devriez penser davantage aux pages “fermées” qui ne sont accessibles que par des liens individuels. En réalité, le secret de ces sites est aussi leur seule protection, puisque les étrangers ne connaissent tout simplement pas leur adresse. 

Conférences en ligne

En fait, votre entreprise organise souvent des conférences en ligne où les employés de différents services discutent des projets en cours, organisent des séances de brainstorming ou reçoivent simplement des informations et des instructions de la direction. Il existe de nombreuses plateformes pour organiser de telles conférences. Pour participer à une telle conférence, un mot de passe individuel est nécessaire sur certaines de ces plateformes.

Cependant, les petites entreprises utilisent souvent des solutions gratuites ou peu coûteuses qui ne nécessitent qu’un lien contenant un identifiant spécifique que l’organisateur de la conférence transmettra à toutes les parties intéressées. Imaginez qu’un des employés ait installé une de ces extensions de navigateur qui transmettent des informations à des personnes extérieures. Dès qu’il se joint à la conférence, ce plugin sans scrupules transmet immédiatement l’URL associée à un marché public. Un attaquant qui tente de recueillir des informations sur votre entreprise acquerra alors l’historique de navigation de votre employé, ce qui lui permettra de reconnaître qu’une de ces conférences “librement accessibles” a lieu actuellement.

Personne n’empêchera l’acheteur d’assister à la conférence également. Bien entendu, les autres participants seront informés de l’arrivée d’une autre personne. Mais si plusieurs dizaines de personnes participent à une telle réunion virtuelle et ne se connaissent peut-être même pas, personne ne s’intéressera à un autre participant inconnu.

Factures en ligne des vendeurs et fournisseurs

Il est possible que les vendeurs et fournisseurs de votre entreprise utilisent des services de facturation en ligne. Pour certains de ces services, les factures de paiement peuvent être consultées via un lien spécifique accessible au public. Si un attaquant accède à une telle facture, il peut facilement trouver le nom et l’adresse de votre entreprise et du fournisseur, le montant payé et d’autres informations.

Oui, dans la plupart des cas cela reste ainsi et rien de mauvais n’arrive si ces informations tombent entre de mauvaises mains. Mais pour quelqu’un qui utilise efficacement les techniques d’ingénierie sociale, ces factures contiennent des informations précieuses.

Documents de travail

De nombreuses entreprises utilisent des services en ligne comme Google Drive pour améliorer la collaboration. En théorie, vous pouvez refuser l’accès aux dossiers à des personnes extérieures. Mais tout le monde ne fixe pas de telles restrictions sur le partage et l’échange de fichiers. Souvent, toute personne ayant un lien vers un fichier peut consulter et même modifier le document.

Et ces documents peuvent contenir n’importe quel type d’information : Des estimations de coûts aux informations personnelles détaillées sur les employés.

Pour vous protéger contre les fuites de données à grande échelle, vous devez constamment rappeler à vos employés de faire preuve d’une extrême prudence avant d’installer des extensions de navigateur et de restreindre l’accès à des documents spécifiques si le service en ligne qu’ils utilisent le permet. En règle générale, seule une liste réduite d’extensions de navigateur examinées doit être approuvée et tout autre élément doit être considéré comme potentiellement dangereux.

En outre, vous devez analyser les services de sécurité extensions navigateur en ligne utilisés par votre entreprise et identifier ceux qui permettent l’accès via un lien sans autres mesures d’authentification. Enfin, l’installation d’une solution de sécurité extensions navigateur fiable sur chaque ordinateur d’entreprise est une nécessité absolue pour prévenir toute tentative d’installation d’une extension malveillante ou d’autres cyber-menaces.